新型勒索软件Magniber正瞄准韩国、亚太地区开展攻击
近期,有国外研究人员发现了一种新型的勒索软件,并将其命名为Magniber,值得注意的是,这款勒索软只针对韩国及亚太地区的用户开展攻击。该勒索软件是基于Magnitude exploit kit(简称Magnitude EK)开发套件进行开发,并且在之前有多款恶意软件基于这款开发套件进行开发,也正是因为这样,研究人员将其命名为Magniber, 取Magnitude exploit kit的”Magni“及Cerber的“ber”组合而成。
对于Magnitude EK, 这款恶意软件此前一直在亚太活动,火眼在其一篇文章中称,自2016年Magnitude EK的活动基本已经销声匿迹,但是其仍一直在特定地区活动频繁,特别是近期一直在频繁攻击APAC地区(亚太),下图是火眼的一张攻击分布图:
Magnitude EK攻击分布图
除此之外,前段时间其他机构的研究员也发现了Magniber类似的活动迹象。趋势科技指出,自十月15日以来,Magniber勒索软件,就一直在开展攻击活动。不过即便是这个恶意软件目前在这亚太地区活动频繁,但是暂时没有迹象表明其正在针对特定组织或机构开展攻击。
同时,有另外名来自火眼的研究员,Muhammad Umair,Zain Gardezi在一篇报告中介绍了该勒索软件的大致执行流程,勒索软件Magniber在执行时会通过调用GetSystemDefaultUILanguage函数来检查操作系统语言版本,如果发现系统语言版本不是韩语,则直接退出。如果系统语言版本为韩文,接着会将其使用RC4加密存储至代码资源区的核心代码解密至内存中执行,然后这段核心代码会采用AES 128对系统中的数据进行加密,同时,将加密后的文件的文件名加一个后缀“.ihsdj”,当它完成所有的操作之后,他会将自己从磁盘中删除,这种做法和其他勒索软件并无区别。另外,这款恶意软件还会做虚拟机检测,如果发现自己位于虚拟机中,则会中断执行。执行流程如图所示:
Magniber执行流程图
同时趋势科技还指出,该勒索软件主要使用微软去年9月修补的一个IE内存破坏漏洞(CVE-2016-0189)进行扩散。攻击者通过发送邮件的方式在用户机器上触发该漏洞,那些运行老旧版本的机器,未打补丁的机器,极易中招。
目前该勒索软件主要针对韩国及部分亚太地区,国内暂时为发现活动迹象,但是本着未雨绸缪的心态,当务之急还是应该尽快将自己的电脑的补丁打全,同时来历不明的邮件不要随意点开。安全小子团队后续也会对此恶意软件展开追踪及分析。
参考文章:
[1] https://threatpost.com/new-magniber-ransomware-targets-south-korea-asia-pacific/128567/
[2] https://www.fireeye.com/blog/threat-research/2017/10/magniber-ransomware-infects-only-the-right-people.html
欢迎关注安全小子,安全路上你我同行
新型勒索软件Magniber正瞄准韩国、亚太地区开展攻击的更多相关文章
- 安全预警-防范新型勒索软件“BlackRouter”
近期,出现一种新型勒索软件“BlackRouter”,开发者将其与正常软件恶意捆绑在一起,借助正常软件的下载和安装实现病毒传播,并以此躲避安全软件的查杀.目前,已知的被利用软件有AnyDesk工具(一 ...
- 1千万英国用户被Cryptolocker勒索软件瞄准
英国国家打击犯罪调查局(NCA)发布国家紧急警报,警报一场大规模的垃圾邮件,这些邮件中包含了一款名为CryptoLocker的勒索程序,把目标瞄准了1千万英国的email用户,该程序会加密用户的文档, ...
- 发送垃圾邮件的僵尸网络——药物(多)、赌博、股票债券等广告+钓鱼邮件、恶意下载链接、勒索软件+推广加密货币、垃圾股票、色情网站(带宏的office文件、pdf等附件)
卡巴斯基实验室<2017年Q2垃圾邮件与网络钓鱼分析报告> 米雪儿 2017-09-07 from:http://www.freebuf.com/articles/network/1465 ...
- 技术分析 | 新型勒索病毒Petya如何对你的文件进行加密
6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球. 媒体报道,欧洲.俄罗斯等多国政府.银行.电力系统.通讯系统.企业以及机场都不同程度的受到了影响. 阿里云安全团队第一时间拿到病毒样本,并进行了 ...
- 勒索软件Locky、Tesalcrypt等使用了新的工具躲避检测
勒索软件Locky.Tesalcrypt等使用了新的工具躲避检测 今天我们发现Locky勒索软件家族使用一种新的工具来躲避检测,并且可能已经感染了很多节点. 自从我们通过AutoFocus智能威胁分析 ...
- 360安全中心:WannaCry勒索软件威胁形势分析
猫宁!!! 参考链接:http://zt.360.cn/1101061855.php?dtid=1101062360&did=210646167 这不是全文,而是重点摘要部分. 2017年5月 ...
- 螣龙安科:威胁研究——与MAZE勒索软件事件相关的策略,技术和程序
至少从2019年5月开始,恶意行为者就一直在积极部署MAZE勒索软件.勒索软件最初是通过垃圾邮件和漏洞利用工具包分发的,后来又转移到妥协后进行部署.根据我们在地下论坛中对涉嫌用户的观察以及整个Mand ...
- android86 监听SD卡状态,勒索软件,监听应用的安装、卸载、更新,无序广播有序广播
* 添加权限 <uses-permission android:name="android.permission.RECEIVE_SMS"/> * 4.0以后广播接收者 ...
- 【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性
原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-wo ...
随机推荐
- Python内置函数详解
置顶 内置函数详解 https://docs.python.org/3/library/functions.html?highlight=built#ascii https://docs.pyth ...
- C#设计模式(6)-原型模式
引言 上一篇介绍了设计模式中的抽象工厂模式-C#设计模式(3)-建造者模式,本篇将介绍原型模式: 点击这里查看全部设计模式系列文章导航 原型模式简介 原型模式:用原型实例指定创建对象的种类,并且通过拷 ...
- editplus的设置
1, 下载editplus3软件并且进行安装, 我这里是 EditPlus_3.4.1.1123_XiaZaiBa 2, 进行相关设置: 工具-->参数设置-->常规--勾选 (把Edit ...
- JS控制台打印星星,总有你要的那一款~
用JS语句,在控制台中打印星星,你要的是哪一款呢~来认领吧~ 1.左直角星星 效果: 代码: let readline=require("readline-sync"); cons ...
- Oracle 每隔5分钟产生2个clsc*.log文件
环境: OS:HP-UNIX 数据库:11.2.0.4 双机RAC (一)现象 在清理Oracle日志的时候,发现在$ORACLE_HOME/log/{instance_id}/client下面存 ...
- oracle中number类型最简单明了解释
NUMBER (p,s) p和s范围: p 1-38 s -84-127 number(p,s),s大于0,表示有效位最大为p,小数位最多为s,小数点右边s位置开始四舍五入,若s>p,小数点右侧 ...
- 二、js的控制语句
二.流程控制语句 ECMA-262规定了一组流程控制语句.语句定义了ECMAScript中的主要语法,语句通常由一个或者多个关键字来完成给定的任务.诸如:判断.循环.退出等. 语句的定义 在E ...
- spark与hive的集成
一:介绍 1.在spark编译时支持hive 2.默认的db 当Spark在编译的时候给定了hive的支持参数,但是没有配置和hive的集成,此时默认使用hive自带的元数据管理:Derby数据库. ...
- Linux入门之常用命令(7)压缩
compress filename 压缩 -d解压缩 *.Z bzip -d解压缩 -z压缩 *.bz2 bzcat filename .bz2 读取压缩文件内容 gzip -d解压缩 -#压 ...
- Cow Uncle 学习了叉积的一点运用,叉积真的不错
Cow Uncle Time Limit: 4000/2000MS (Java/Others) Memory Limit: 128000/64000KB (Java/Others) SubmitSta ...